Assurance

Assurance helpt het bestuur van een pensioenfonds om uitbestede processen in de grip te houden. Zekerheid verschaft door een onafhankelijk deskundige, ofwel ‘assurance’, kent in de pensioensector verschillende verschijningsvormen.

Bij uitbesteding van processen aan uitvoerings­organisaties zoals veel voorkomt in de pensioensector, is externe zekerheid over het proces of de uitkomsten daarvan in de vorm van assurance veel gevraagd. Door het extern onderbrengen van belangrijke processen van een pensioenfonds zijn bestuursleden veelal beperkt in de mogelijkheden om zelf observaties over de uitbesteding te doen. Objectivering door middel van assurance verstrekt door een onafhankelijke en deskundige derde, is dan van toegevoegde waarde en veelal noodzakelijk voor een beheerste bedrijfsvoering van het pensioenfonds.

Assurance over uitbestede processen wordt verleend door een deskundige die onafhankelijk is van degene die verantwoording aflegt. De onafhankelijke deskundigen die assurance bieden, zijn in de pensioensector veelal externe accountants of IT-auditors.

Het stramien voor assurance-opdrachten onderscheidt de volgende vijf elementen van een assurance-opdracht:

1. Betrokkenheid van een partij die verantwoording aflegt, een belanghebbende en een auditor
2. Een onderzoeksobject
3. Criteria
4. Assurance-informatie
5. Assurancerapport

Belangrijk bij de invulling van assurance is naast een heldere definitie van het ‘assurance-object’, het hanteren van geschikte criteria ofwel normen. Geschikte criteria voldoen aan de kenmerken relevantie, volledigheid, betrouwbaarheid, neutraliteit en begrijpelijkheid.

‘Het bestuur bepaalt wat het met assurance kan door het vaststellen van scoping en normenkader.’

Ook voor opdrachtgever (het pensioenfonds) en opdrachtnemer (de uitvoeringsorganisatie) is een overeengekomen raamwerk inclusief normenkader essentieel om tot een heldere rapportage over de door de uitvoeringsorganisatie uitgevoerde processen te komen, inclusief objectieve terugkoppeling daarover in de vorm van assurance. Anders dan voor financiële verantwoordingen is voor uitbestede processen meer maatwerk nodig. Raamwerken voor governance en interne beheersing, zoals COSO en COBIT, kunnen voor de ontwikkeling en vastlegging van de beheersing uitbestede processen een goed handvat bieden.

Data-analyse

Door de beschikbaarheid van procesdata en geavan­ceerde data-analysetools is het mogelijk om continu analyses uit te voeren en hierover assurance te geven.
De bruikbaarheid van een bepaalde vorm van assurance over uitbestede processen wordt vooral bepaald door:

• het zekerheidsniveau;
• de reikwijdte;
• de diepgang;
• de rapportage over de uitkomsten van het assurance-onderzoek.

De toegepaste standaard (ISAE 3402, ISA/COS 3000, etc) is hierbij van invloed, maar zeker ook de invulling die in een specifieke situatie aan bovengenoemde aspecten wordt gegeven. Dit vraagt om gerichte keuzes voorafgaand aan de uitvoering van het assurance-onderzoek. Vroegtijdig overleg tussen de opdrachtgever en de extern accountant of IT-auditor als uitvoerder van het onderzoek is hierbij veelal nuttig.

‘Om als bestuur écht toegevoegde waarde te halen uit een ISAE 3402 Type II-rapportage over uitbestede processen, is het nodig vooraf – naast de scoping – de verwachtingen ten aanzien van beheersmaatregelen te bepalen.’

Vooraf aandacht van het bestuur voor de invulling van assurance over uitbestede processen en gesprek hierover tussen bestuur en auditor kan voorkomen dat het opgeleverde assuranceproduct niet aan de verwachtingen voldoet.

Vormen van Assurance

Bij het verkrijgen van zekerheid over uitbestede processen van pensioenfondsen kunnen de volgende vormen van assurance worden gekozen:

Van bovengenoemde varianten biedt assurance op basis van ISA/COS 3000 zekerheid en relatief veel flexibiliteit. Dit laatste is nodig om ook invulling te kunnen geven aande actuele ontwikkeling van “continuous assurance”. Door de beschikbaarheid van procesdata en geavanceerde data analyse tools is het mogelijk om continue analyses uit te voeren en hierover assurance te geven. 

1.  Een ISAE 3402-rapport kent een voorgeschreven indeling, met in elk geval de volgende onderdelen:
   - Assurance-rapport van de auditor (extern accountant of IT auditor)
   - Mededeling van het management
   - Algemene beheersomgeving en beschrijving van de relevante processen
   - Beheersdoelstellingen en beheersmaatregelen
   - Uitkomst testwerkzaamheden van de extern accountant of IT auditor
2. Het ISAE-rapport kent twee varianten, type I bevat met name opzet en bestaan van beheersdoelstellingen en –maatregelen op een bepaald moment, type II gaat in op opzet, bestaan en werking over een periode. Hierdoor zijn type II rapporten voor pensioenfondsen en hun accountants veelal de enig bruikbare variant. 
3. Redelijke mate van zekerheid is de terminologie voorgeschreven in de standaarden. Hierbij is het risico op het trekken van een onjuiste conclusie op basis van de rapportage tot een aanvaardbaar laag niveau teruggebracht. Gesteld kan worden dat de verleende zekerheid relatief hoog is, maar niet absoluut.